TokyoBlackHatNews

海外のセキュリティニュースをお届けします

thehackernews.com

GPUGateマルウェア、Google広告と偽のGitHubコミットを利用してIT企業を標的に

Byt0ddycat

9月 9, 2025 #AIサイバーセキュリティ, #AIマルウェア, #GitHub偽装, #Google広告, #GPUGate, #GPU暗号化, #IT企業標的型攻撃, #PowerShellマルウェア, #クレジットカード情報窃取, #マルバタイジング

2025年9月8日Ravie Lakshmananマルバタイジング / 暗号化

Image

サイバーセキュリティ研究者は、Googleなどの検索エンジン上の有料広告を利用し、GitHub Desktopのような人気ツールを探している無防備なユーザーにマルウェアを配布する、新たな高度なマルウェアキャンペーンの詳細を明らかにしました。

マルバタイジング(悪意ある広告)キャンペーンは近年一般的になっていますが、今回の最新の活動には独自のひねりがあります。それは、GitHubコミットをページURLに埋め込み、攻撃者が管理するインフラに誘導する改ざんされたリンクを含めるというものです。

「リンクがGitHubのような信頼できるプラットフォームを指しているように見えても、実際のURLは改ざんされて偽サイトに解決される可能性があります」とArctic Wolfは先週公開したレポートで述べています。

2024年12月以降、少なくとも西ヨーロッパのITおよびソフトウェア開発企業を集中的に標的としており、不正なGitHubコミット内のリンクは、見た目が本物そっくりのドメイン(「gitpage[.]app」)でホストされた悪意あるダウンロードへユーザーを誘導するよう設計されています。

毒された検索結果を利用して配布される第一段階のマルウェアは、128MBもの巨大なMicrosoft Software Installer(MSI)で、そのサイズゆえに多くの既存のオンラインセキュリティサンドボックスを回避します。また、グラフィックス処理ユニット(GPU)によるゲート付き復号ルーチンにより、実際のGPUがないシステム上ではペイロードが暗号化されたままとなります。この手法はGPUGateと名付けられています。

「適切なGPUドライバーがないシステムは、仮想マシン(VM)やサンドボックス、あるいはセキュリティ研究者がよく使う古い解析環境である可能性が高い」とサイバーセキュリティ企業は述べています。「この実行ファイルはGPUの機能を使ってペイロードの復号鍵を生成し、その際にGPUデバイス名も確認します。」

さらに、解析を困難にするため複数の不要ファイルを詰め込んでいるほか、デバイス名が10文字未満だったりGPU機能が利用できない場合は実行を停止します。

攻撃はその後、Visual Basic Scriptの実行、PowerShellスクリプトの起動(管理者権限で実行)、Microsoft Defenderの除外設定、永続化のためのスケジュールタスクの作成、そしてダウンロードしたZIPアーカイブから抽出した実行ファイルの実行へと進みます。

最終的な目的は情報窃取と二次ペイロードの配布であり、同時に検知の回避も図っています。PowerShellスクリプト内にロシア語のコメントが存在することから、このキャンペーンの背後にいる脅威アクターはロシア語のネイティブスピーカーであると考えられています。

さらに脅威アクターのドメインを分析した結果、Atomic macOS Stealer(AMOS)の中継地として機能していることが判明し、クロスプラットフォームでの攻撃手法が示唆されています。

「脅威アクターはGitHubのコミット構造を悪用し、Google広告を活用することで、正規のソフトウェアリポジトリを巧妙に模倣し、ユーザーを悪意あるペイロードへリダイレクトできます。これによりユーザーの警戒やエンドポイント防御を回避することが可能です」とArctic Wolfは述べています。

この情報公開は、Acronisが詳細を明らかにした、リモートアクセスソフトウェアを使って感染ホストにAsyncRATPureHVNC RAT、およびカスタムPowerShellベースのリモートアクセス型トロイの木馬(RAT)を投下する、トロイ化されたConnectWise ScreenConnectキャンペーンの進化が続いている中で行われました。この攻撃は2025年3月以降、米国の組織を標的としたソーシャルエンジニアリング攻撃で確認されています。

カスタムPowerShell RATは、クラックされたScreenConnectサーバーからダウンロードされたJavaScriptファイルによって実行され、プログラムの実行、ファイルのダウンロードと実行、簡易的な永続化機構などの基本的な機能を提供します。

Image

「攻撃者は現在、ScreenConnect用のClickOnceランナーインストーラーを使用しており、これは埋め込み設定を持たず、代わりに実行時にコンポーネントを取得します」とセキュリティベンダーは述べています。「この進化により、従来の静的検知手法は効果が薄れ、防御側は信頼できる対策手段が限られる状況となっています。」

翻訳元: https://thehackernews.com/2025/09/gpugate-malware-uses-google-ads-and.html

By t0ddycat

Related Post

thehackernews.com

GitHubアカウントの侵害がSalesloft Driftの情報漏えいにつながり、22社に影響

9月 9, 2025 t0ddycat
thehackernews.com

⚡ 週間まとめ:Drift侵害の混乱、ゼロデイ攻撃、パッチ警告、進化する脅威など

9月 8, 2025 t0ddycat
thehackernews.com

あなたはフィッシングされなかった ― 攻撃者を自ら受け入れてしまった

9月 8, 2025 t0ddycat

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です


You missed

News

Signalがチャットの保存と復元のための安全なクラウドバックアップを追加

2025年9月9日 t0ddycat
cyberscoop-com

CISA、最終的なサイバーインシデント報告規則を2026年5月に延期

2025年9月9日 t0ddycat
bleepingcomputer.com

Lovesac、ランサムウェア攻撃の主張を受けてデータ侵害を確認

2025年9月9日 t0ddycat
bleepingcomputer.com

年間1億2300万回の訪問があったスポーツストリーミング海賊版サービスが閉鎖

2025年9月9日 t0ddycat